使用电子邮件作为用户名有哪些优缺点?

时间:2009-08-20 02:01:10

标签: email login

您知道大多数登录表单都使用用户&通过。

有些人去了电子邮件&通过。它们的优点和缺点是什么?这就是我的想法。

电子邮件的PROS

  • 要记住的少一件事(而不是记住用户名)
  • 每位用户应始终是唯一的
  • 要求他们注册
    • 少一件事

CONS

  • 如果他们更改了电子邮件 - 可能会尝试使用他们的新电子邮件来访问该网站吗?
  • 忘记密码 - 并说'请输入您的电子邮件'并且他们已经放弃了旧电子邮件 - 他们可能会被卡住。

我确实认为这与编程有关,因为Web应用程序的易用性是一个不容忽视的重要内容。

13 个答案:

答案 0 :(得分:23)

另一件需要记住的事情是,如果其他用户也可以看到“用户名”,则由于隐私问题,您不应使用邮件地址。

答案 1 :(得分:5)

OpenID和OAuth .....它看起来更好。用户管理的用户更少,这使得在一个地方迁移变得更容易。

是的,你必须要小心。我坚持认为备份电子邮件地址(附加配置文件字段)与他们为用户使用的电子邮件地址不同。许多系统还有一些其他领域,如果事情变得非常多毛,那么它们可以用来验证自己。此时,它经常需要技术支持电话。

根据系统类型,使用电子邮件可能是一个安全漏洞。我知道你的电子邮件地址,我不知道你可能会在用户名提示中输入什么。如果能够轻松猜出用户名是一个问题,那么我就不会使用电子邮件地址。

答案 2 :(得分:4)

将电子邮件用作用户名时可能出现的另一个问题是“用户收获”攻击。 例如,如果您有“更改电子邮件”页面或创建新用户,如果新用户插入已存在的电子邮件,则应用程序将不得不发回错误。因此,攻击者可以通过执行一个简单的脚本来发现应用程序中的所有用户(如果用户不存在,则会添加它)

答案 3 :(得分:3)

只要您提供更改电子邮件地址的方法,电子邮件就会成为一个好的用户名。 LinkedIn在您创建一个以电子邮件作为用户名的帐户时提供此功能。他们还允许您(登录后)更改主电子邮件地址,然后将您的用户名更改为该电子邮件地址。

只要你做这样的事情,那么你就应该全力以赴。

答案 4 :(得分:3)

我认为缺点超过了安全方面的优点。许多公司回收电子邮件地址,因此,如果用户不再使用电子邮件地址(删除他/她的电子邮件帐户),则可以将其回收给任何其他人使用。

在这种情况下,任何其他人都可能会收到贵组织的定期信件。这样,新用户就可以知道该帐户的前一个用户曾经在您的组织中登录过。如果您使用简单的基于电子邮件的密码重置,而无需额外检查(如安全问题),那么他们所需要做的就是使用他们现在拥有的电子邮件地址来恢复密码,并且他们可以访问该人的帐户。

我希望你不是为银行编程。 USBank.com使用用户名而不是电子邮件。我还有一个信用合作社的帐户,他们也不使用电子邮件,而是使用他们从不回收的帐号。

如果安全是首要任务,请不要使用电子邮件。

答案 5 :(得分:1)

电子邮件(专业版) - 减少帐户创建垃圾邮件,因为您可以通过向他们发送电子邮件来确认帐户。

答案 6 :(得分:1)

缺点: 当您需要在网站和电子邮件等应用程序之间共享用户名时,可能会引发安全问题。例如,如果电子邮件用于用户名,则有权访问网站中用户名的任何人也可以访问电子邮件地址。通常这不是问题,但可能是。除非存在共同的登录程序,或者除非安全性不重要,否则在应用程序之间保持用户名和密码分开通常是一个很好的策略。

答案 7 :(得分:1)

CON:这是用户和垃圾邮件发送者之间的隔离层。如果某人得到完整的用户名列表,他们就可以向所有用户发送垃圾邮件。但是,如果该网站使用用户名,并将电子邮件作为辅助字段,则不需要考虑这一点。

当然,除非他们获得所有用户数据,但这仍然是一个更大的问题。

答案 8 :(得分:1)

我已经为b2b应用程序做了这个,当用户离开客户公司而其他人正在使用旧的已停用的电子邮件地址作为登录并故意不更改它以避免收到我们的电子邮件时,这真的很痛苦。

我们最终获得了密码重置电子邮件,可以退回并支持修复内容的电话。

答案 9 :(得分:1)

另一个注意事项是,如果您要允许帐户公开,则不需要用户名意味着您必须允许“显示名称”(您当然不会显示电子邮件地址),但如果您的用户需要使用他们的真实姓名有可能导致混淆的重复名称(想想两个没有图片和相同名称的SO评论者,假设它是同一个人,除非你点击完整的个人资料)。在这种情况下,你要么必须强制使用一个独特的显示名称(这可能会阻止某人使用真实姓名),或者只是接受你可能让两个鲍勃·约翰逊徘徊在令人困惑的人身上。

答案 10 :(得分:0)

当您使用电子邮件地址时,会员更容易更改其用户名,例如当pwng0d69想要被称为Jon Skeet时。 但是,对于每个要求我的电子邮件地址的网站,我个人都畏缩了另一个潜在的垃圾邮件来源。

使用Open ID:)

答案 11 :(得分:0)

PRO:似乎有些服务正在考虑将电子邮件作为识别网络中特定用户的标准:

e.g。 http://www.techcrunch.com/2009/08/14/google-points-at-webfinger-your-gmail-address-could-soon-be-your-id/

CON: 这还没有发生,还有很多其他的选项,比如OpenAuth和OpenID,现在都有一些支持(你也可以使用Facebook传播登录)。

只需根据您应用的目标受众群体定制您的身份选择。

答案 12 :(得分:0)

在公司所有权变更要求变更之前,我们使用了Arena Solutions的“产品生命周期管理”软件。这是其中一项交易,其中所有敏感公司数据都托管在海外某处,可以通过浏览器从任何地方访问。

Arena PLM被吹捧为高度安全,但(默认)行为是要求使用电子邮件地址作为用户名。它允许使用有效期限的强密码,但是当我的密码过期时,我被告知我可以选择另一个,或者继续使用旧密码!

我认为安全声明基于使用SSH进行数据传输,但在我看来,一个坚定的人可以登录,因为

  • 用户名是公开的公司电子邮件地址和
  • 有足够的时间来猜测密码,因为懒惰的用户不会选择新密码。

当然,这意味着必须强制使用强密码和续订

相关问题
最新问题